Na rečenicu iz naslova vrlo često nailazimo u primjeni, posebice kod tijela javne vlasti i javnih tijela. Ali i određen dio drugih organizacija je koristi. I nije to samo po sebi loše.
Ali samo pod jednim uvjetom: da ta nije sve od informacija koje organizacija daje u vezi postupanja s podacima fizičkih osoba.
Da takva rečenica ne bi bila samo fraza "na časnu riječ", pobrinuo se GDPR.
Jedan od temeljnih zahtjeva usklađenosti postupanja s GDPR-om je da svakoj fizičkoj osobi moramo prije uzimanja osobnih podataka jasno, precizno, na razumljiv, pristupačan, vidljiv, lako uočljiv i sažet način, izbjegavajući pravne izraze i pravničke i prestručne floskule pojasniti što radimo s osobnim podacima, ovako:
- identitet i kontaktne podatke voditelja obrade
- kontaktne podatke službenika za zaštitu podataka
- svrhe obrade osobnih podataka
- pravni temelj obrade (npr. propis, ispunjenje ugovora, pravna obveza, valjani legitimni interes, javni interes, privola...)
- obrazloženje legitimnog interesa
- primatelje ili kategorije primatelja osobnih podataka,
- informacije o prijenosu vaših podataka izvan EU/EEA ili međunarodnoj organizaciji
- rok pohrane podataka
- postojanje automatiziranog donošenja odluka, što uključuje izradu profila fizičke osove i smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za fizičku osobu
- upućivanje na postojanje prava na pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade ili prava na ulaganje prigovora te prava na prenosivost podataka, kao i postojanje prava da se u bilo kojem trenutku povuče privola, i konačno pravo na podnošenje prigovora nadzornom tijelu
Tako to traži članak 13. GDPR-a i uvijek se toga držite, bez obzira nalazili se na strani fizičke osobe ili organizacije koja uzima podatke fizičkih osoba.
Pa čak i bivši hrvatski Zakon o zaštiti osobnih podataka je tražio vrlo slično:
"Prije prikupljanja bilo kojih osobnih podataka, voditelj zbirke osobnih podataka ili izvršitelj obrade dužan je informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o primateljima ili kategorijama primatelja osobnih podataka te da li se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka. U slučaju obveznog davanja osobnih podataka navodi se i zakonska osnova za obradu osobnih podataka.
Međutim, nismo se toga pridržavali. Zašto? Jer nas kazne nisu plašile. Skroz otvoreno.
Da zaključimo, ovaj post.
Ukoliko vam neka organizacija želi uzeti osobne podatke bez navođenja svih obveznih informacija iz članka 13. GDPR-a i ukoliko započne prikupljati vaše osobne podatke davanjem vam jedine informacije da će "na časnu riječ" s vašim osobnim podacima postupati sukladno primjenjivim propisima o zaštiti podataka, tada budite sigurni da takva organizacija ne poznaje ni bivši Zakon o zaštiti osobnih podataka niti GDPR.
Tada to znači da toj organizaciji zaštita vaše privatnosti nije bitna.
Takvima nemojte davati svoje podatke.